GRE トンネルと IPsec トンネルを使用した Zscaler 統合

Zscalerクラウドセキュリティプラットフォームは、世界中の100以上のデータセンターで一連のセキュリティチェックポストとして機能します。インターネットトラフィックをZscalerにリダイレクトするだけで、店舗、支店、リモートロケーションをすぐに保護できます。Zscalerはユーザーとインターネットを接続し、暗号化または圧縮されていても、トラフィックのすべてのバイトを検査します。

Citrix SD-WAN アプライアンスは、お客様のサイトでGREトンネルを介してZscalerクラウドネットワークに接続できます。SD-WAN アプライアンスを使用した Zscaler デプロイメントでは、次の機能がサポートされます。

  • すべてのGREトラフィックをZscalerに転送し、それによって直接インターネットブレイクアウトを可能にします。
  • お客様のサイトごとにZscalerを使用したダイレクトインターネットアクセス(DIA)。
    • 一部のサイトでは、Zscaler を使用せず、オンプレミスのセキュリティ機器を DIA に提供したい場合があります。
    • 一部のサイトでは、インターネットアクセスのために別のカスタマーサイトのトラフィックをバックホールすることもできます。
  • 仮想ルーティングおよび転送の展開。
  • インターネットサービスの一部として 1 つの WAN リンク。

Zscalerはクラウドサービスです。サービスとして設定し、基盤となる WAN リンクを定義する必要があります。

  • GRE を使用して、データセンターおよびブランチでインターネットサービスを設定します。
  • データセンターおよびブランチサイトで、信頼できるパブリックインターネットリンクを構成します。

トポロジ

ローカライズされた画像

ローカライズされた画像

GRE トンネルまたは IPsec トンネルトラフィック転送を使用するには、次の手順を実行します。

  1. Zscalerヘルプポータルにログインします https://help.zscaler.com/submit-ticket

  2. チケットを発行し、GRE トンネルまたは IPsec トンネルの送信元 IP アドレスとして使用されるスタティックパブリック IP アドレスを指定します。

Zscaler は送信元 IP アドレスを使用して顧客の IP アドレスを識別します。送信元 IP は、静的なパブリック IP である必要があります。Zscalerは、トラフィックを送信するために2つのZEN IPアドレス(プライマリとセカンダリ)で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

Zscaler は送信元 IP アドレスの値を使用して顧客の IP アドレスを識別します。この値は、静的なパブリック IP アドレスである必要があります。Zscalerは、トラフィックをリダイレクトする2つのZEN IPアドレス[DR1]を応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

IP アドレスの例

プライマリ

内部ルーターIPアドレス:172.17.6.241/30 内部ZEN IPアドレス:172.17.6.242/30

セカンダリ

内部ルーターIPアドレス:172.17.6.245/30 内部ZEN IPアドレス:172.17.6.246/30

インターネットサービスの設定

インターネットサービスを構成するには、次の手順を実行します。

  1. [ 接続 ]-[ インターネットサービス] に移動します。インターネットサービスを構成します。

    ローカライズされた画像

    ローカライズされた画像

    ローカライズされた画像

GRE トンネルの設定

  1. 送信元 IP アドレスは、トンネル送信元 IP アドレスです。トンネル送信元 IP アドレスが NATTed の場合、別の中間デバイス上で NATTed されている場合でも、パブリック送信元 IP アドレスはパブリックトンネル送信元 IP アドレスになります。

  2. 宛先IPアドレスは、ZScalerが提供するZEN IPアドレスです。

  3. 送信元 IP アドレスと宛先 IP アドレスは、元のペイロードがカプセル化されるときのルータ GRE ヘッダーです。

  4. トンネル IP アドレスとプレフィクスは、GRE トンネル自体の IP アドレスです。これは、GRE トンネルを介してトラフィックをルーティングする場合に便利です。トラフィックは、この IP アドレスをGateway アドレスとして必要とします。

    ローカライズされた画像

GRE トンネルを設定するには、次の手順を実行します。

  1. 設定エディタで、[ 接続 ] > [ サイト ] > [ GRE トンネル] に移動し、インターネットプレフィクスサービスを Zscaler GRE トンネルに転送するルートを設定します。

    送信元 IP アドレスは、信頼できるリンクの仮想ネットワークインターフェイスからのみ選択できます。GRE トンネルの設定方法を参照してください。

    ローカライズされた画像

GRE トンネルのルートの設定

インターネットプレフィクスサービスを Zscaler GRE トンネルに転送するルートを設定します。

  • ZEN IP アドレス(トンネル宛先 IP、上図の 104.129.194.38)は、サービスタイプインターネットに設定する必要があります。これは、Zscaler宛てのトラフィックがインターネットサービスから考慮されるようにするために必要です。
  • Zscaler 宛てのすべてのトラフィックは、デフォルトルート 0/0 と一致し、GRE トンネルを介して送信する必要があります。[DR1] GRE トンネルに使用する 0/0 ルートのコストが、パススルーやその他のサービスタイプよりも低いことを確認します。
  • 同様に、Zscaler へのバックアップ GRE トンネルのコストは、プライマリ GRE トンネルのコストよりも高くなる必要があります。
  • ZEN IP アドレスに非再帰ルートが存在することを確認します。

GRE トンネルのルートを設定するには、次の手順を実行します。

  1. [ 接続 ] > [ サイト ] > [ ルート] に移動し、ルートの作成手順については、ルートの設定で説明されている手順に従います。

    ローカライズされた画像

    Zscaler IP アドレスに特定のルートがない場合は、ルートプレフィクス 0.0.0.0/0 を ZEN IP アドレスと一致するように設定し、GRE トンネルのカプセル化ループを介してルーティングします。この設定では、アクティブ-バックアップモードのトンネルを使用します。上の図に示す値を使用すると、トラフィックは自動的にGateway IP アドレス 172.17.6.242 のトンネルに切り替わります。必要に応じて、バックホール仮想パスルートを設定します。それ以外の場合は、バックアップトンネルのキープアライブ間隔を 0 に設定します。これにより、Zscalerへのトンネルが両方とも失敗しても、サイトへの安全なインターネットアクセスが可能になります。

    GRE キープアライブメッセージがサポートされています。GRE 送信元アドレスの NAT アドレスを指定する Public Source IP という新しいフィールドが Citrix SD-WAN GUI インターフェイスに追加されます(SD-WAN アプライアンスのトンネルソースが中間デバイスによって NATTed されている場合)。Citrix SD-WAN GUIには、パブリックソースIPというフィールドが含まれています。このフィールドには、Citrix SD-WAN アプライアンスのトンネルソースが中間デバイスによってNATTedされたときに、GRE ソースアドレスのNATアドレスが表示されます。

制限事項

  • 複数の VRF 配置はサポートされていません。
  • プライマリバックアップ GRE トンネルは、高可用性設計モードでのみサポートされます。

IPSec トンネルの設定

ローカライズされた画像

Citrix SD-WAN アプライアンスのGUIでイントラネットまたはLANサービスのIPseCトンネルを構成するには:

  1. 構成エディタで、[ 接続 ] > [< サイト名 >] >[IPSec トンネル] に移動し、 サービスの種類 (LAN またはイントラネット) を選択します。

  2. サービス・タイプの「名前」を入力します。イントラネットサービスの種類については、構成済みのイントラネットサーバーによって、使用可能なローカル IP アドレスが決まります。

  3. 使用可能なローカル IP アドレスを選択し、リモートピアへの仮想パスのピア IP アドレスを入力します。

    ローカライズされた画像

    ローカライズされた画像

  4. [ IKE 設定 ] で [ IKEv1] を選択します。Zscaler は IKEv1 のみをサポートしています。

    ローカライズされた画像

  5. [IPsec の設定] で、[ トンネルの種類 ] に [ ESP-NULL] を選択し、IPsec トンネルを介してトラフィックを Zscaler にリダイレクトします。IPsec トンネルはトラフィックを暗号化しません。

    ローカライズされた画像

  6. インターネットトラフィックはリダイレクトされるため、宛先 IP/プレフィックスには任意の IP アドレスを使用できます。

    ローカライズされた画像

Citrix SD-WAN Webインターフェイスを使用したIPSec トンネルの構成の詳細については、IPSec トンネルトピックを参照してください。

IPsec トンネルのルートの設定

IPSec ルートを設定するには、次の手順を実行します。

  1. [ 接続 ] > [ DC ] > [ ルート] に移動し、ルートの 作成手順については、ルートの設定で説明されている手順に従います。

ローカライズされた画像

GRE および IPSec トンネルの統計情報をモニタするには、次の手順を実行します。

SD-WAN Web インターフェイスで、[ モニタリング ] > [ 統計 ] > [GRE トンネル] に移動します。 IPSec トンネル]。

詳細については、「監視, IPSec トンネル」および「GRE トンネル」を参照してください。